安全領(lǐng)域有成百上千的安全廠商。云、電子郵件、網(wǎng)絡(luò)和終端安全、威脅、惡意軟件和DDoS防護方面都有各種提供商供選用，另外還有網(wǎng)絡(luò)釣魚和釣鯨防護、內(nèi)部人威脅檢測等等一大堆服務(wù)。

問題是，這一大堆解決方案之間互不理睬，讓采用這些技術(shù)的安全團隊頭疼不已。同時，這些安全團隊還必須跟上不斷變化的威脅態(tài)勢，以跟上創(chuàng)新速度比大部分財富500強企業(yè)都快的罪犯。

一、雖然有困難 但必須協(xié)同合作

Magnum Consulting 咨詢公司分析師弗蘭克·J·歐霍斯特在去年的一篇評論文章中準(zhǔn)確抓住了該協(xié)作問題。

IT安全已成為現(xiàn)代IT環(huán)境中最復(fù)雜元素之一，要求有多層防護，有封鎖攻擊、阻擋入侵者和保護數(shù)據(jù)安全的高級分析。然而，當(dāng)前的各個安全層次還是會時不時地失效，而這通常都是由于這些安全層都是單一廠商所設(shè)導(dǎo)致的。

“當(dāng)然，不能把所有的責(zé)任都?xì)w到廠商身上，只除了一點：無論安裝了多少層，這些安全廠商之間協(xié)作和技術(shù)交流的缺乏，十分有效地創(chuàng)建了防護孤島。”

“簡單說，今天的威脅不是單一廠商能對付的，安全技術(shù)之間的隔絕必須成為過去式。”

二、為了更大的利益

不過，安全專家相信，廠商在協(xié)作上正走向正確的方向，主要是因為這就是“正確的事”。

“理想主義地說，我的回復(fù)是‘協(xié)作’就是讓系統(tǒng)盡可能安全的正確做法，它鋪平了用多家廠商的產(chǎn)品構(gòu)建協(xié)同系統(tǒng)的道路。”滲透測試機構(gòu) First Base Technologies 首席執(zhí)行官皮特·伍德說。

相比幾年前，廠商之間的協(xié)作已經(jīng)明顯增多。比如，在技術(shù)層面，多家廠商開放其平臺API互傳數(shù)據(jù)。而從研究層面更是如此，很多廠商已經(jīng)協(xié)同開展調(diào)查、發(fā)現(xiàn)，甚至共同對網(wǎng)絡(luò)犯罪進行毀滅性打擊。

2016年，Novetta集團聯(lián)合包括AlienVault和卡巴斯基全球研究分析團隊在內(nèi)的多家安全供應(yīng)商聯(lián)盟，開展了一次名為(Operation BlockBuster)的行動。目的是摧毀活躍多年的數(shù)個金融、媒體和制造業(yè)網(wǎng)絡(luò)間諜活動。

三、安全技術(shù)無法通用，廠商不能成為孤島

威脅情報公司 Digital shadows 共同創(chuàng)始人兼CTO詹姆斯·查佩爾認(rèn)為，在技術(shù)、標(biāo)準(zhǔn)和威脅情報之類的領(lǐng)域，協(xié)作一直在發(fā)展。

“信息安全行業(yè)的廠商認(rèn)識到，沒有哪種技術(shù)可以像撲熱息痛治療一切頭疼那樣通用——廠商不是孤島。”

安全是個廣義的話題，需要投入很多方面的能力而不僅僅只是一種。這意味著該產(chǎn)品領(lǐng)域的生態(tài)系統(tǒng)天然就是相互聯(lián)系的。比如說，我們就與內(nèi)部安全監(jiān)視和事件分診系統(tǒng)緊密合作，這樣我們產(chǎn)生的警報和提供的服務(wù)才能增強和改善事件響應(yīng)過程。

拉吉·薩瑪尼，英特爾安全CTO兼歐洲刑警組織顧問，或許對廠商間的合作層級沒那么有信心，但被廠商與安全機構(gòu)間在打擊犯罪基礎(chǔ)設(shè)施上的緊密合作鼓舞。

美國司法工作組和歐洲的歐洲網(wǎng)絡(luò)犯罪中心(EC3)與私營產(chǎn)業(yè)公司合作開展打擊犯罪組織的行動，對此，薩瑪尼評價道：“這是前所未有的協(xié)作程度。”

“明顯走在了正確的方向上，我們可以看到垂直協(xié)調(diào)、產(chǎn)品互操作性和共營及私營產(chǎn)業(yè)間更好的協(xié)作。”

四、理想很豐滿 現(xiàn)實卻骨感

很多方面看來，2020年將增值到1700億美元的安全市場上，仍將出現(xiàn)廠商孤島。

技術(shù)供應(yīng)商很自然地希望自己的產(chǎn)品能獨樹一幟，而不斷改變的安全態(tài)勢則意味著，解決方案、標(biāo)準(zhǔn)，乃至協(xié)議，都可在一夜之間顛覆。

而且，除了特異性的需求，業(yè)內(nèi)還有個明顯的認(rèn)知：傳統(tǒng)安全產(chǎn)品需要更好的互操作性以改善終端用戶防護。目前出現(xiàn)了一種意識，認(rèn)為傳統(tǒng)安全產(chǎn)品，比如防火墻和IDS系統(tǒng)，僅憑自身是擋不住愈趨復(fù)雜的攻擊的。

業(yè)界領(lǐng)頭羊們期待協(xié)作，寄希望于通過API集成和SaaS，以及基于云的業(yè)務(wù)模式，來提升互操作性。尤其是API集成，可使威脅、漏洞或安全事件數(shù)據(jù)信息，跨不同產(chǎn)品進行交換。

尼克·威特菲爾德，大數(shù)據(jù)分析軟件提供商Panaseer首席執(zhí)行官，稱其公司集成了來自Qualys和賽門鐵克的數(shù)據(jù)。“傳統(tǒng)上，安全廠商在連接不同安全系統(tǒng)上對客戶支持甚少。”

事實上，有些廠商認(rèn)為這對他們的業(yè)務(wù)是一個威脅。不過，隨著企業(yè)認(rèn)識到隔絕看待安全工具是無意義的，只有集結(jié)了所有防御的整體視圖才能給他們帶來所需的富上下文視野，廠商生態(tài)系統(tǒng)也邁開了集成的腳步。

英特爾安全的薩瑪尼同意此觀點，但也承認(rèn)，廠商社區(qū)不是每個人都認(rèn)同這種看法。

“若說解決方案總能互通，那大面上看不是這樣的。互操作性總是大多數(shù)公司的棘手難題。”

“我與無數(shù)不想?yún)f(xié)作的廠商通過電話，合不合作取決于他們。但整個市場、整個行業(yè)，肯定不是朝那個方向走的。”

同時，伍德還為自己工作中的主要問題就是互操作性的欠缺而哀嘆，埋怨“孤立”的廠商不理解安全堆棧其他部分的技術(shù)。他認(rèn)為，對解決方案該如何嚙合的理解不足，往往造成“聯(lián)合協(xié)作的分崩離析”。

“大多數(shù)安全廠商對安全沒有全面的認(rèn)識。所以他們中很多都不理解涉及到的平行技術(shù)。”

很多廠商僅僅是“深化他們自己的日常”，向CISO們推送幾乎不需要的產(chǎn)品，在幫助終端用戶建立安全的測試環(huán)境上做得不夠。

“我的建議就是，通觀全局，查看你客戶實現(xiàn)解決方案的用例。不要局限在自家解決方案的思考框框里。在廠商的幫助下，找出系統(tǒng)聯(lián)合中存在的裂縫。”

“要勇于投資建設(shè)恰當(dāng)?shù)膶嶒炇覝y試環(huán)境，讓安全人員可以在生產(chǎn)環(huán)境之外恰當(dāng)?shù)毓粝到y(tǒng)。”

不過，馬利克爭辯稱，協(xié)作在技術(shù)上肯會很難：“純技術(shù)角度上存在有一些難點，大多歸結(jié)于企業(yè)銜接或定制后端以提供有意義的報告或指標(biāo)上所需的大量時間及精力。”

“這就是能跨不同基礎(chǔ)設(shè)施(云，內(nèi)部)整合安全能力的廠商占優(yōu)勢的地方——所有集成都在后端完成。”

然而，還有其他的障礙橫亙在協(xié)作之路上，比如文化。

“專注和偏執(zhí)，”威特菲爾德說，“廠商太過關(guān)注自己的產(chǎn)品，有時候甚至忘記了客戶及其需求。”

五、威脅情報和數(shù)據(jù)共享打頭陣

與安全研究并行，威脅情報或許是行業(yè)協(xié)作中勢頭最好的領(lǐng)域了。之前的例子中已經(jīng)包括了網(wǎng)絡(luò)威脅聯(lián)盟(CTA)、全球網(wǎng)絡(luò)聯(lián)盟(GCA)和威脅預(yù)防聯(lián)盟(TPA)，以及其他一些聯(lián)盟。

查佩爾相信，政府和行業(yè)間威脅情報共享，比如美國的情報共享和分析中心(ISAC)，以及英國的網(wǎng)絡(luò)安全信息共享伙伴關(guān)系(CISP)，將會大踏步前進。他和薩瑪尼還提到了“沒有勒索”項目，作為行業(yè)、司法和政府機構(gòu)協(xié)同對抗勒索軟件威脅的例子。

“這都是前所未見的。在過去，協(xié)作都是臺面上的扯皮，或者針對某種特定惡意軟件的特定行動，而如今，有了長期存在的形式。”

馬利克稱，威脅情報共享幾乎已成常態(tài)。

“威脅共享，是廠商歷史上參與最多的康莊大道。我們也見證了很多企業(yè)加入到活躍的威脅數(shù)據(jù)共享中，因此，開放威脅共享平臺，比如OTX，真心是幫助提升協(xié)作程度的流行趨勢。”

查佩爾認(rèn)為，標(biāo)準(zhǔn)已輔助提升了威脅情報協(xié)作，這很大程度上歸功于Mitre.com和Oasis所做的努力，以及通過STIX和TAXXI等項目對指標(biāo)信息的標(biāo)準(zhǔn)化。他還相信，隨著(ISC)2、SANS、CREST、ISACA和ISSP之類組織被業(yè)內(nèi)認(rèn)可，不斷擴大的安全技術(shù)人才缺口將會受到抑制。